Чек-лист сайта на соблюдение законодательства о персональных данных

1. Формы обратной связи

Наличие любых форм обратной связи, через которые пользователь передает администрации сайта свои данные (имя, фамилия, телефон, адрес электронной почты и т.д.) считается обработкой персональных данных, на которую необходимо получать согласие.

→ рядом с каждой формой обратной связи должна быть предупредительная надпись о том, что пользователь ознакомился с политикой конфиденциальности (или иным документом об обработке данных на сайте) и дает свое согласие на обработку предоставляемых данных. Политика конфиденциальности должна быть размещена в подвале сайта и в предупреждении на нее необходимо сделать активную ссылку. Согласие должно быть активным, например, через проставление галочки в чек-боксе. Отжатие уже проставленной галочки считается ненадлежащим способом его предоставления, пользователь именно должен совершить действие, которое будет равнозначно согласию.

2. Cookies-файлы

Несмотря на то, что эти данные обезличены, РКН считает их персональными данными, так как они позволяют определить уникального посетителя сайта, сформировать сведения о его предпочтениях, поведении на сайте, что указывает на обработку его данных.  

→ необходимо предусмотреть механизм предупреждения пользователя о сборе cookies собираются и получать его разрешение на это. Например, всплывающее уведомление и активное нажатие пользователем на кнопку “даю согласие”, “разрешаю” и т.д.

3. Метрические программы на сайте

Если на сайте используются метрики (метрические программы), то это обязательно должно быть отражено в политике конфиденциальности (или ином документе об обработке данных на сайте).

→ необходимо прописать, что метрики в принципе используются и перечислить какие именно, с названиями.  А также указать, какие данные собирают метрики, каких категорий субъектов персональных данных. И далее эту информацию постоянно актуализировать. Указание на использование метрик также должно быть во всплывающем уведомлении об использовании cookies).

Пример корректной формулировки предупреждения о сборе cookies и метриках:

Мы обрабатываем ваши персональные данные с использованием cookies и метрических программ.

Кнопка “Согласен”

4. Использование иностранных сервисов

Если используются иностранные метрические или другие сервисы, связанные с передачей данных пользователей, (например, Google Analytics, Google Forms, Google Captcha), то Роскомнадзор считает это трансграничной передачей персональных данных, поскольку данные российских пользователей хранятся на серверах зарубежных компаний.

→ в этом случае необходимо подать уведомление в Роскомнадзор о трансграничной передаче данных, поскольку использование иностранных сервисов допустимо только после такого уведомления. Уведомление подается электронно (https://pd.rkn.gov.ru/cross-border-transmission/form2) или в бумажном виде. После получения уведомления Роскомнадзор может запретить или ограничить трансграничную передачу, то есть использование таких сервисов.  Об этом будет сообщено заявителю.  Если от Роскомнадзора не последует никаких ответных реакций на уведомление, значит использование разрешено и этого достаточно.

5. Документ, определяющий политику оператора в отношении обработки персональных данных

Если через сайт обрабатываются персональные данные (есть формы обратной связи, формы для покупки товаров или услуг через сайт, используются метрики), то на сайте обязательно должен быть размещен документ, определяющий политику компании в области обработки персональных данных.  Чаще всего такой документ называется Политика конфиденциальности, но может иметь и иное обозначение.

→ в Политике должны быть отражены для каждой цели обработки персональных данных:

  • категории и перечень обрабатываемых персональных данных,
  • категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения,
  • порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.

Документ должен быть размещен на видном месте (рекомендуемое - подвал сайта) и к нему должны вести активные ссылки под каждой формой обратной связи.

Документ должен отражать специфику деятельности организации, поэтому не рекомендуется брать чужие документы, например, в интернете, и размещать как свои.

5.  Местонахождение баз данных сайта

Базы данных сайта должны находится исключительно на территории России.  По закону запрещено хранить персональные данные российских граждан за границей.  Штрафы за такое "иностранное" хранение для юрлиц - от 1 до 6 млн рублей. И подобных требований от Роскомнадзора сейчас тоже очень много.

→ в случае поступления соответствующего требования от Роскомнадзора о подтверждении хранения данных на территории РФ, необходимо представить договор на приобретение или аренду серверных мощностей, либо публичную оферту хостинга, с которым работает компания.

Если Whois-service будет показывать регистрацию вашего сайта у иностранного регистратора, это может являться основанием для дополнительной проверки вашего хостинга на предмет соблюдения требования о хранении баз данных и обработки персональных данных исключительно с использованием баз данных, находящихся на территории РФ.

6. Использование рекомендательных технологий

Если на сайте, в информационных системах или приложениях используются рекомендательные технологии, то владелец ресурса должен совершить ряд обязательных действий, уведомляющих пользователей ресурса об использовании таких технологий.

→ 1. на главной странице сайта в общедоступном, непрерывном круглосуточном режиме необходимо разместить уведомление, которым пользователи информируются о применении рекомендательных технологий:  

«На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)». (эта формулировка из проекта приказа Роскомнадзора, он пока не утвержден)

2.  Разместить документ, устанавливающий правила применения рекомендательных технологий.  В нем должно быть:

- описание процессов и методов сбора, систематизации, анализа сведений, относящихся к предпочтениям пользователей сети "Интернет", предоставления информации на основе этих сведений, а также способов осуществления таких процессов и методов;

- виды сведений, относящихся к предпочтениям пользователей сети "Интернет", которые используются для предоставления информации с применением рекомендательных технологий, источники получения таких сведений.  Доступ к правилам должен быть беспрепятственный и безвозмездный.

3. Указать адрес электронной почты для направления владельцу сайта юридически значимых сообщений, его фамилию и инициалы (для физического лица) или наименование (для юридического лица).

Если эти требования не выполнить, Роскомнадзор выдает требование о прекращении использования рекомендательных технологий и в случае его невыполнения возможно блокировка сайта.

7. Публикация персональных данных на сайте

Если на сайте распространяются персональные данные людей (например, разделы про команду, о нас, наши сотрудники, победители конкурсов, интервью с кем-то), тогда необходимо получать от субъекта персональных данных отдельное согласие на распространение его персональных данных.

→ согласие выдается по специальной форме и должно быть в письменном или электронном виде. В согласии человек разрешает, запрещает или ограничивает распространение отдельных своих данных.  Примерный образец такого согласия: https://cloud.consultant.ru/cloud/cgi/online.cgi?req=doc&base=PAP&n=22307&dst=0#C29bIhU4y6S8Ihlr

Информация о разработчиках

Приглашаем воспользоваться нашим предложением и провести техосмотр, чтобы обеспечить долгосрочную стабильность работы сайта. Свяжитесь с нами для обсуждения деталей:

webdev@foralien.com

телефон: +7 (495) 647-05-70

телеграм: @foralien

Бюро Анны Ладошкиной - специализируется на разработке сайтов для НКО, общественных и культурных проектов, постоянно сотрудничает с ведущими российскими благотворительными фондами. Наш подход к разработке основывается на опыте работы с десятками организаций, сочетая его с обширной консультативной практикой и разработкой онлайн-инструментов для НКО. Помогаем нашим клиентам находить поддержку доноров, интерес партнеров, одобрение жертвователей, внимание СМИ.